PHP-Nuke XSS нападение
Продукт: PHP-Nuke
Версия: 7.8 и ниже Описание: В Php-Nuke найдена серьезнейшая уязвимость в профиле пользователя, позволяющая наподавшему произвести XSS нападение и получить куки пользователя, администратора! Устранение уязвисости: запретить в настройках форума удаленных аватаров! P.S.:Сейчас на данный момент нет времени :smile: , чуть позже напешу конкретное устранение уязвимости! |
а собственно как работает Xss актака? можно тоже заострить внимание на этом. и еще как удалить эту уязвимость если я использую не Phpbb, а Ipb 1.3 ?
|
Дырка очень опасная так что фиксим все!:pirate:
Открываем modules/Your_Account/index.php Находим функцию: PHP код:
Заменяем на: PHP код:
BuKTOp про XSS можно почитать в интернете, этого материало много, а насчет Ipb это все зависит как у вас встроена этот форум, если он использует эту функцию, то тогда тоже надо ее пофиксить. |
жаль что автора уязвимости не указывают секьюрити сайты =)
|
Green Bear в каком плане? как это прикажете понять?
|
Soniks, не могу найти в своем modules/Your_Account/index.php этой функции - у меня стоит хак No_mail_registration - стоит беспокоиться?
|
Jay должен быть ищите получше, беспокоится стоит!
Ищете по function avatarlinksave($avatar) { |
Soniks, в том-то и дело, что нет. Стндартный index.php из модуля Your_Account "весит" где-то 91 кб. А из хака No_mail_registration, которым я его заменил, - 65 кб. В этом файле вообще нет ни одного упоминания avatarlinksave. Вот так.
|
Jay а версия нюки какая? тогда по в редактировании профеля пользователя через акаунт нет возможности установить аватор, если так то беспокоится не о чем!
|
Soniks php-nuke 7.6 +2.9
Через аккаунт установить аватар нельзя - только через профиль в форуме. |
Часовой пояс GMT +4, время: 10:04. |
Copyright © 2005 by Soniks